[心得] Win7防毒心得

楼主: Joba07 (骗人布)   2017-05-02 04:11:52
最近看到不少人中了病毒
( 不管是首页绑架 或是挖矿 甚至是勒索病毒 )
至少我目前是没中的
我提供一下我自己的心得
在 16 年前我还在使用 Win98 的时代
那时候不是很懂 忘记是中了什么病毒
总之是被搞得很惨 之后就开始自己摸索防毒
后来使用 XP 时 在 11 年前
我写了这篇 #14v9Uzvb 的心得
不过后来就没写有关登录数据库和防火墙设定
后来这几年改用 Win7 后
之前 XP 时期的登录数据库设定太久没碰都忘了
然后那时候我用的 Sygate Personal Firewall
后来这家公司早就没更新了 也跟 Win7 不相容
所以只好另外换防火墙
不过使用习惯还是一样的道理
常常会看到有人写
" 只要不乱点连结 不乱安装软件就没事 "
或者是 " 只要装了防毒软件就没事 "
这些都是错误的观念
那样做并不保证你的电脑没事
只要你的使用习惯很差 照样容易中奖
这里要讲的一点很重要
就是 " 预防重于治疗 "
尤其是现在勒索病毒猖獗
一旦中奖 几乎是无解
那预防就非常非常重要了
我的预防方式有以下几点 :
( 以 Win7 SP1 Home Premium 为例 )
1. 帐号与密码
任何帐号最好都要设密码
而且开机时最好要输入密码才能登入
再来密码最好用复杂的
例如用 $c0ttB0r@$ 既复杂又容易记
万一真的被攻陷 要暴力破解也要花一些时间
然后要停用来宾帐户
控制台/使用者帐户与家庭安全/使用者帐户/管理其他帐户/
Guest来宾帐户 将其关闭
2. 网络芳邻
停用 File & Printer Sharing for Microsoft Networks
和 停用 NetBIOS over TCP/IP
控制台/网络及互联网/网络共用中心/变更接口卡设定
点选你使用上网的接口卡 鼠标右键/内容
将 File & Printer Sharing for Microsoft Networks 该选项打勾给取消
再点选 TCP/IPv4 /内容/进阶
点选上方 WINS 的 Tab 选 停用 NetBIOS over TCP/IP
3. 档案与资料夹
忘记是哪个病毒 档案是放在默认隐藏的资料夹位置
就算用扫毒软件或是 Adwcleaner 抓出来扫掉
后来还是会死灰复燃 因为躲在你隐藏的地方
档案总管/组合管理/资料夹和搜寻选项/检视
在 隐藏档案和资料夹 选 显示隐藏的档案 资料夹和磁盘机
4. 服务
没有用的服务就关掉它 如 Remote Desktop Services 和 Remote Registry
和 Internet Connect Sharing ( ICS )
开启服务 :
a 开启/电脑 右键/管理/服务与应用程式/服务
b 开启/输入 services.msc
停用 Remote Desktop Services 和 Remote Registry 和 ICS
我平时也停用 Printer Spooler 等到要打印再手动启动
停用 TCP/IP NetBIOS Helper
同时看看描述是空白的服务 有没有特殊异常的服务
本来 XP 还有 Terminal Service 的服务
不过 Win7 已经改到别的地方
开启/电脑 右键/内容/ 远端设定
将 允许到这台电脑的远端协助连线 勾勾取消
另外也不要用 TeamViewer 这款远端桌面软件
5. 上网前的准备
除了开启工作管理员之外
还要开启命令提示字符
在 开始 / 所有程式 / 附属应用程式 / 命令提示字符
然后输入 netstat -an
先观察上网前的数据以及工作管理员有没有呈现 CPU 飙高的情形
以上两者都有替代软件
观察网络数据可以用 TCPView http://imgur.com/a/xW6q1
而工作管理员可以用 Process Explorer http://imgur.com/a/0KPZz
6. Windows Update
一定要开启自动更新 一定要开启自动更新 一定要开启自动更新
很重要所以要说三次
这次不少人中毒 就是因为没有做更新
7. 用 NAT 方式上网
不管是用分享器或是 router
只要不是以实体方式连网 就不容易被攻进来
这种方式的 ip 都是 192.168.开头的 ip
8. 其他软件
不少病毒并非从 Windows 漏洞攻进来
而是其他软件的漏洞 尤其是 Flash Player 和 Java
如果可以就移除 如果还是有需要 一定要做更新
http://imgur.com/a/EGaQW 这也是我爱用 Avast 的原因
9. 浏览器外挂
现在有很多浏览器的安全连线外挂
如 McAfee 的 WebAdvisor Avira 的 Browser Safety
Avast 的 Online Safety http://imgur.com/a/Hf7XU
安装这些可以防止乱点到危险连结 http://imgur.com/a/f91nX
另外安装 Adblock Plus 之类的防广告外挂
也多少可以防范一些网页广告
另外也不要乱点不明连结
也不要随便逛特定网站 尤其是对岸的
10. 防毒软件 防骇软件 及防火墙
这些该装的还是要安装 而且不要因为麻烦就停掉
至于哪些比较好用 我个人都是用免费的
重要的是 这三者中
一定要有一个是有 HIPS ( 主动入侵防御系统 ) 方式的
http://imgur.com/a/L2uWZ
HIPS 是能监控你电脑中档案的运行 档案运用其他的档案
以及档案对于登录数据库的修改 并向你报告寻求允许
只要你阻止了 那么它就无法运行及更改
11. 开启 UAC ( 使用者帐户控制 )
千万不要嫌跳出视窗很麻烦就关掉它
否则一旦中奖 后悔就来不及了
控制台/使用者帐户和家庭安全/使用者帐户/变更使用者帐户控制设定
不要调到最底下 ( 即不要通知 )
12. 备份资料
备份档案资料一定要用异地备份
例如光驱或是上传至云端 如果要用外接硬盘备份
备份完后一定要拔掉 如果还是连在主机 一样一起中奖
13. 开启信件 以 Outlook 2010 为例
http://tinyurl.com/kxlu42z
不要任意开启邮件附加档
即使是朋友寄来的也要特别小心
14. 关闭自动拨放
这是要防 USB 病毒的
控制台/硬件与音效/自动拨放
将 所有媒体与装置都使用自动拨放功能 的勾勾取消
以前在用 XP 时 我会用登录数据库设定和 Sygate Personal Firewall
把 135-139 和 445 的 port 全部关起来
( Sygate 是 NIPS 的防火墙 可以直接针对特定 port 来设定
可是 Comodo 好像不行 我试过几次都没成功 ) http://imgur.com/a/o2lvi
现在用 Win7 135 和 445 的 port 一直都是开的 @@
目前是用别的方式 好像是这样 http://imgur.com/a/VqgQu
总之虽然目前 135 445 port 是开启的
但是从 https://doublepulsar.below0day.com/ scan 是没问题的
大概就是这样 之后想到再补充
作者: j790822 (水之守护者)   2017-05-02 07:54:00
大推专业分享
作者: xjp004123 (超级儿)   2017-05-02 08:09:00
推专业
作者: changshinn (闲闲没事)   2017-05-02 09:36:00
推,专业文
作者: Adven (电风扇)   2017-05-02 10:06:00
push
作者: KevinYu0504 (KevinYu)   2017-05-02 10:33:00
好文,推我用过 AVG.Avast.Avira.Bitdefender.Norton.Kaspersky.PCCillin.Windowd defender.Emsisoft.Panda.Comodo 等等,Emsisoft 是我首选 ;)
作者: jk01   2017-05-02 10:40:00
楼主: Joba07 (骗人布)   2017-05-02 11:07:00
虚拟机器和沙盒我还没用 不过两者中我倾向用前者 因为看过有的勒索病毒可以绕过沙盒
作者: gwofeng (宫山洋行)   2017-05-02 11:29:00
好心得卡巴也有检查其他软件更新 HIPS 封PORT的功能卡巴默认就把135-139 445跟Remote Desktop的3389都封了
作者: koihime (華琳)   2017-05-02 11:55:00
看到好熟的ID,原来我正在看mobile01上KevinYu0504大的文
作者: KevinYu0504 (KevinYu)   2017-05-02 12:01:00
被楼上记住了 (羞)
作者: mayuyu ((・ω・)ノ)   2017-05-02 13:41:00
推 感谢分享心得请问您说的勒索病毒可以绕过的沙盒是哪一个?顺带一提 目前没有看过勒索病毒可以穿透虚拟机器但是虚拟机器也有重大的执行任意程式码的漏洞例如VMWare 12.5.2之前的12.x版本有一个严重的drag-and-drop漏洞可以让guest穿透虚拟机在host主机中执行任意程式码而今年三月的Pwn2Own大赛 骇客又利用edge+vmware的漏洞展示过程只需要90秒就攻破虚拟机 可以执行任意程式码取得主机的最高权限 VMware六天后紧急推出12.5.5来修补所以即使是沙盒或虚拟机都还是可能存在漏洞的只是在野外的真实世界中 没有看过利用这些漏洞的勒索样本
楼主: Joba07 (骗人布)   2017-05-02 13:49:00
https://www.cc.ntu.edu.tw/chinese/epaper/0038/20160920_3807.html延迟一小时以上才执行,避开传统沙箱的侦测,因为沙箱通常只能运行几分钟
作者: gwofeng (宫山洋行)   2017-05-02 14:04:00
沙盒还是极少数人在使用 攻克难度高 不如往其他漏洞钻
作者: munsimli (口嫌体正直)   2017-05-02 14:06:00
卡巴的应用程控好用,但软件设定繁复,设定档存好就一劳永逸,Emsi也还不错,设定无敌简单,防护效果也不错,尤其可以用试用30天去刷授权,等于免费试用
作者: gwofeng (宫山洋行)   2017-05-02 14:07:00
最近藉网络漏洞进来的勒索病毒 沙盒应该就没用了
作者: mayuyu ((・ω・)ノ)   2017-05-02 14:12:00
原来是指这种防毒“检测时”使用的沙箱我以为是指Sandboxie或Comodo的Container(Sandboxie就是你贴的文章中推荐的沙盒)Comodo最近是有bypass的例子https://www.youtube.com/watch?v=gWo0XnLHr3g但那是因为该恶意程式被云端信任 根本没有进入沙箱如果有进沙箱 应该是不可能逃逸的Comodo的防火墙应该可以挡住这次的网络攻击从一开始大概就无法入侵 即使被入侵执行木马下载其他恶意软件时也会被抓到自动沙盒
作者: gwofeng (宫山洋行)   2017-05-02 14:17:00
COMODO沙盒就怕白名单PASS 对新软件用手动入沙就没问题了
作者: mayuyu ((・ω・)ノ)   2017-05-02 14:18:00
附带一提 如果想检查“从外面”是否看得到自己的port开启网络上有很多Open Port Check的工具网站譬如说no-ip提供的 http://www.portchecktool.com/如果你是用调制解调器硬拨取得实体IP主机是躲在调制解调器后面用NAT上网 有调制解调器的防火墙挡着通常检查所有port都会是关闭的除非你有另外打开Virtual Server(Port Forwarding)
楼主: Joba07 (骗人布)   2017-05-02 14:22:00
谢谢 我用那个连结查询 果然那些port都是关的我是有Oracle的VirtualBox Comodo自己也有沙盒 不过我只是一般玩家 所以还没有玩过 因为已经10几年没中毒了就还没想要用那些
作者: apharomeo (小西瓜)   2017-05-02 14:31:00
comodo要有设定阻挡那些port才能挡住一般人装完comodo大概不会去特地去设有看到实例是入侵后把comodo 8的沙箱 HIPS VirusScope关掉的comodo 10就不确定能不能被关掉
楼主: Joba07 (骗人布)   2017-05-02 14:34:00
请问 Comodo v8 要如何设定挡住 port ?
作者: apharomeo (小西瓜)   2017-05-02 14:34:00
总之, OS的漏洞一定要先补起来
作者: Adven (电风扇)   2017-05-02 17:11:00
感谢port check网站,看来已关
作者: apharomeo (小西瓜)   2017-05-03 01:51:00
comodo要挡port就:防火墙->全域规则 里面去新增规则
楼主: Joba07 (骗人布)   2017-05-03 03:20:00
谢谢 原来是先在连接埠组先定义 再到全域规则设定难怪我光在连接埠组弄半天都没用
作者: DINJIAPC (鼎家)   2017-05-03 09:46:00
nat下所有的对外连接埠都是关闭的,如果要挡直接在分享器下规则就好
作者: waterblue85 (waterblue)   2017-05-06 03:41:00
那请问kevin大之前看了你的文章买了终身版的malwarebytes,有需要换成emsisoft吗?

Links booklink

Contact Us: admin [ a t ] ucptt.com